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(54) Procede de controle de configuration d'une installation complexe et dispositif pour la mise en oauvre de ce 
precede. 

fe^ L'invention concerne un precede de controle de confi- 
guration d'une installation complexe. ainsi qu'un dispositif 
mettant en oeuvre ce procede. 
Le procede consiste essentiellement a: 

- enregistrer (102) dans une memoire d'un calculateur de 
I' installation, une base des codes d' identification des 
moyens de l' installation, y compris le code d'identrfication 
du nouveau moyen, pour obtenir une base de la nouvelle 
configuration de Installation, 

- enregistrer (103) dans la memoire dudit calculateur une 
base de reference des codes d'identification des moyens 
de ('installation, avant led it rem placement, cette base cor- 
respondent a la configuration, dite ancienne, de I'insta Na- 
tion, 

- comparer (1 04) la base de reference des codes d'iden- 
trfication de I'ancienne configuration avec la base des co- 
des d'identrfication de la nouvelle configuration, pour de- 
clencher (107) une alarme lorsque la comparaison indique 
une modification de configuration. 
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PROCEDE DE CONTROLE DE CONFIGURATION D 1 UN E INSTALLATION 
COMPLEXE ET DISPOSITIF POUR LA MISE EN 
OEUVRE DE CE PROCEDE 

5 DESCRIPTION 

La prfesente invention concerne un proc6d6 
de contrSLe de configuration d'une instaLLation 
complexe, ainsi qu'un dispositif de mise en oeuvre 

10 de ce proc6d6- 

Ce proc6d§ et ce dispositif sont applicabLes 
aux i ns tal Lat ions complexes, de configuration d6termin6e 
ou evolutive- Ces installations comprennent g6n§ralement 
des moyens combines tels que des capteurs, des syst&mes 

15 de traitement incluant des caLculateurs commandant 
par exemple des a s se rv i s sement s et d'une manifere 
generate des moyens combines i nteragi ssant Les uns 
avec les autres pour obtenir un resultat souhait§.. 

La configuration d'une installation est 

20 d§termin§e par les concepteurs de celle-ci- Cette 
configuration d^finit notamment L 'organisation des 
diff6rents moyens fonctionnels qui composent 

I ' i ns ta L la tion, les specifications f onct ionnel les 
essentielles de ces moyens, Les liaisons et Les 

25 interactions entre ces moyens. Une configuration 
pr£d6t e rm i n§e d'une installation permet £ celle-ci 
d'effectuer des traitements pour accompLir des actions 
p r edet e rm i n^e s en vue de L'obtention d'un resultat 
souhaitfe. Inversement, une configuration non autori s6e 

30 d'une instaLLation ne permet pas a cette instaLLation 
de r§aliser tout ce qui est attendu d'elle dans des 
conditions souhait£es, ces conditions pouvant aLLer 
d'un niveau de security dfegradfe a une absence totale 
de service rendu. 

35 Des installations de ce type peuvent etre 
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des ensembles complexes tels que des stations de 
poursuite de satellites et de traitement de signaux 
§chang6s avec ces satellites, des postes de navigation 
sur les navi res, des automobiles 6quip6es d 1 ordi nat eu rs 
5 de bord traitant des signaux provenant par exemple 
de capteurs fournissant les paramdtres relatifs au 
dfeplacement ou au freinage, des postes de commande 
de f one t ionnement de centrales nucl§aires, des postes 
de pilotage d'avions etc... 
10 Les proc§dfes et dispositifs de contrSLe 

d 1 i ns t a I la t ions complexes doivent concourir £ une plus 
grande sficuritfe de fonct ionnement de ces installations 
grace & une surveillance trfes stricte de leurs 
configurations - 

15 Dans un avion par exemple. La s£curit6 

est une preoccupation majeure des construct eurs qui 
adoptent de plus en plus des installations ou systfemes 
dits de "commande de vol Slectrique" incluant notamment 
des ca Iculateu rs, des asse rvi ssements, des capteurs 

20 etc-... Une partie importante de ces systemes est d§di£e 
& la surveillance et a la manoeuvre de I'avion par 
un ou plusieurs pilotes, £ partir d'un poste central 
de pi lotage- 

Chaque installation a g6n6ralement une 
25 duree de vie importante Cplusieurs ann£es). La mise 
en exploitation de L 1 i ns t a I la t i o n n'est effective 
qu'apres des phases successives incluant notamment 
L'etude et la conception, la realisation d'un prototype, 
la premiere mise en marche, les essais rendant 
30 necessaires des modifications, puis la fabrication 
d 1 i ns ta I Lations de sferie. 

Les installations de s6rie sont elles-memes 
soumises a des evolutions de configuration au cours 
du temps, soit pour des besoins particuliers d'un 
35 utilisateur, soit pour ameliorer la quality, la 
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robustesse. La fiabiLit6 de I ' i nst a I La t i on, mais aussi 
pour ob§ir h de nouveLLes r 6g Lemen t at i ons ou pour 
utiLiser de nouveLLes technoLogies pr§sentant de 
meiLLeures performances, ou parce que Les anciennes 
technoLogies sont devenues i ndi sponi b Les . 

Cette 6voLution de configuration est 
fr^quente dans Les gros avions qui sont d'autant pLus 
concernSs qu'iLs sont pLus modernes et mettent, par 
consequent, en oeuvre un nombre pLus important de 
caLcuLateurs. Toute 6voLution de configuration doit 
§tre g6r&e avec prudence et m§t hodo Logi e, notamment 
pour des raisons de s6curit§. IL est notamment 
n6cessaire, Lors du rempLacement d*un moyen fonctionneL 
ancien par un nouveau moyen dans une i nsta LLat i on, 
de contrdLer La compatibility de ce nouveau moyen avec 
Les autres moyens de L'instalLation. En effet, tout 
nouveau moyen fonctionneL introduit dans une 
instaLLation en rempLacement d'un ancien moyen ne doit 
pas perturber Le f one t i onnement de L 1 i nsta L Lat ion ; 
ceLLe-ci doit rester capabLe de fournir au moins Les 
commandes fournies jusque lb ou mieux, d l am4Liorer 

Leur quaLit£. 

On ne sait pas actueLLement contrdLer de 
maniere automatique La vaLidit6 de La configuration 
d'une instaLLation de traitement de donn£es et de 
signaux, notamment Lorsque un ou pLusieurs des moyens 
fonctionneLs combines de cette instaLLation sont 
rempLacfis par de nouveaux moyens. 

Dans L'Stat actueL de La technique, pour 
une instaLLation comportant notamment pLusieurs 
caLcuLateurs recevant et &changeant des donnfees ou 
des informations pour Les traiter, Le technicien de 
maintenance qui rempLace un caLcuLateur par un autre, 
ou modifie un programme d'un caLcuLateur dans une 
instaLLation, ou rempLace un capteur par un autre, 
modifie La configuration de ceLLe-ci. Ce rempLacement 
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peut intervenir par exerapLe Lorsqu'un caLcuLateur est 
en panne. Le technicien a alors Le choix entre Le 
rempLacement du caLcuLateur ancien par un caLcuLateur 
identique fonctionnant avec Le m§me programme, ou Le 
5 rempLacement du caLcuLateur ancien par un caLcuLateur 
equivalent fonctionnant avec un programme tel que Les 
ent r§es/sorties du nouveau caLcuLateur sont identiques 
aux entrees/sorties de L'ancien caLcuLateur (dans toute 
La suite de La description, Le terme caLcuLateur 
10 d&signera non seuLement Le materiel, mais aussi Le 
LogicieL) . 

Le technicien peut aussi, en respectant 
certaines conditions, rempLacer un caLcuLateur par 
un caLcuLateur non equivalent. C'est Le cas par exempLe 

15 Lorsqu'aucun caLcuLateur identique ou equivalent n'est 
disponibLe, ou Lorsque ce rempLacement est demande 
par Le concepteur de L 1 i nsta L Lation qui souhaite 
modifier La configuration de celle-ci, h La demande 
d'un utiLisateur, ou pour ameiiorer La qualite du 

20 f onct ioiinement de cette installation. La modification 
de configuration de L 1 i ns taL Lation, resultant par 
exempLe du rempLacement d f un caLcuLateur par un 
caLcuLateur non equivalent, exige du technicien de 
maintenance des procedures de verification de La 

25 coherence du f one t i onnement de L ' i nstal Lation- Ces 
procedures sont Longues, compLiqu§es, et L'erreur 
"humaine" dans ces verifications est toujours un risque 
pouvant entrainer de graves consequences. 

Le rempLacement cite en exempLe est ceLui 

30 d'un caLcuLateur, mais ce rempLacement peut etre ceLui 
d'un ou pLusieurs autres moyens fonctionneLs de 
1 1 i nstal Lation, tels que des capteurs, des circuits 
de mesure etc . • . 

Le technicien de maintenance v6rifie La 

35 coherence de L 1 i ns taL Lation, a partir d 1 i nf o rma t i ons 
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contenues dans un manuel de maintenance ou sur des 
fiches techniques. 

Pour verifier cette coherence, il doit 
tout d'abord verifier des conditions 

5 d f i nterchangeabi Li t£ d'un moyen existant de 
1 ' i nstal La t ion, par un moyen nouveau. 

IL doit ensuite verifier des conditions 
de compa t ibi Li t 6 entre Le moyen nouveau qui rempLace 
un moyen existant prfed6termin6 et Les autres moyens 
10 de l f instal lation avec LesqueLs ce moyen nouveau 
coopere. Tous Les moyens de 1 1 i ns t a I la t i on , ainsi 
qu'un moyen nouveau, sont rep6r6s par des codes 
d ' identification. 



15 Les conditions d 1 i nterchangeabi Li t€ qui 

doivent et re v6rifi6es sont Les suivantes : 

1 / InterchangeabiLit§ simple 



20 a) IL y a i nterchangeabi Li t6 simple 

Lorsqu'un moyen existant portant un code 
d ' i dent i f i ca t i on p r 6d 6t e rm i n6 est rempLac§ par un 
moyen portant Le meme code d 1 i dent i f i ca t i on . 

C'est par exemple Le cas Lorsqu'un 

25 calculateur de type et de marque pr§d6t ermi n6s, 

fonctionnant avec un programme lui-m§me p r §d § t e rm i n6, 
est rempLacJ par un calculateur de meme type et 
de meme marque, fonctionnant avec un programme 
identique au programme pr§dfetermin6. 

30 Ce cas est egalement celui d'un 

calculateur dans lequel une erreur d 1 exp Loi tat i on 
apparait au cours du dSroulement du programme 
utilise. Lorsque L'erreur est corrigee, c'est le 
code d 1 i dent i fi cation pr§d£termin§ qui continue 

35 & etre utilise. Le moyen existant n'a en effet pas 

et6 rempLace. 
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b) IL y a aussi i nte rchangeabi Li t6 simple 
Lorsqu'un nouveau moyen, portant un nouveau code 
d 1 identification, peut rem placer le moyen existant 
portant un code d 1 i den t i f i c a t i on pr6d§t ermi n§- 

C'est par exemple le cas Lorsqu'un 
programme pr6d6termi n6, utilise dans un calculateur 
d f une installation, est remplac6 par un nouveau 
programme capable d'exficuter les m§mes traitements 
que le programme existant. 



c) Enfin, il y a aussi i nte rchangeabi I i tG 
simple lorsqu'un nouveau moyen portant un nouveau 
code d' identification ne peut §tre remplac6 que 
par un nouveau moyen portant le m§me nouveau code 

15 d'identification. 

C'est par exemple le cas lorsqu'un 
nouveau programme a et6 introduit dans un calculateur 
car il pr&sente une meilleure efficacitS. Ce nouveau 
programme ne peut etre remplac6 que par un programme 

20 identique, par exemple en cas d'erreur au cours 

du dferoulement du nouveau programme. Lorsque cette 
erreur est corrig^e, c'est le nouveau code 
d ' i den t i f i c a t i on qui continue £ etre utilise. 

25 2/ Interchangeabilit6 double 

II y a i nterchangeabi li t 6 double lorsqu'un 
moyen existant portant un code d ' i dent i f i ca t i on 
pr§dGtermin§ peut etre remplac§ par un nouveau moyen 
30 portant un nouveau code d 1 i den t i f i c a t i on, ou 

r&ci proquement . 

C'est par exemple le . cas lorsqu'un 
calculateur pr£d6termi n6, de type 286SX fonctionnant 
avec un programme prGdfetermin§ Ccet ensemble portant 
35 un code d 9 i dent i f i ca t i on pr6d6t ermin6) est remplac6 
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par un caLcuLateur de type 386SX fonctionnant avec 
un programme identique au programme predetermine. 
Le calcuLateur 386SX et son programme portent un 
nouveau code d 1 i dent i fi cat ion . lis peuvent 

r6ci proquement et re remplac6s par L'ancien 
caLcuLateur 286SX et son programme predetermine 
portant Le code d 1 i dent i f i c a t i on predetermine. 
Dans Les deux cas en effet, Les entrees/sorties 
des calculateurs sont identiques. 

Non interchangeabiLite 



Un moyen ayant un code d 1 i dent i f i ca t i on 
predetermine ou un moyen ayant un nouveau code 
d 1 i den t i f i ca t i on ne peuvent rempLacer exc Lusi vement 
qu'un moyen ayant un code d f i denti f i cat ion identique. 

C'est par exemple- Le cas lorsqu'un 
caLcuLateur de type et de marque pr6d6t ermi n6s, 
fonctionnant avec un programme p r §d 6 t erm i n6 , ne 
peut §tre remplace que par un caLcuLateur de m§me 
marque, de meme type, et utiLisant Le m§ne programme. 

C'est aussi Le cas Lorsque La configuration 
d'une installation a evolue pour des raisons 
techniques et qu'un caLcuLateur nouveau, utiLisant 
un nouveau programme, a remplace un caLcuLateur 
predetermine utiLisant un programme p r£d£ t e rm i n6 . 
Ce nouveau caLcuLateur et Le nouveau programme ne 
peuvent et re remplac6s que par un caLcuLateur et 
un programme identiques. 

Les conditions de compa t i b i L i t 6 qui doivent 
re verifi£es sont Les suivantes : 
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Compatibility fonctionnelte 



Lorsque dans une i ns t a L La t i on, un nouveau 
moyen ayant un nouveau code d 1 i dent i f i cat i on, 
remplace un moyen pr6d6termin6 ayant un code 
d 1 i dent i fi cation p r §d6t e rm i n£, il faut s'assurer 
que ce nouveau moyen realise avec une identity totale 
Les fonctions du moyen pr6d6terminfe. La compatibi Li t§ 
f onct ionne L Le exige que L'une des deux premiferes 
conditions dMnterchangeabiLity (interchangeability 
simpLe et i nterchangeabi I i ty doub le) soit_v6rifi£e. 



Compatibility interne 



Pour des raisons de security, certaines 
installations comportent plusieurs voies paraliyies 
redondantes executant les memes fonctions. Les 
moyens fonctionnels des diff^rentes voies sont 
identiques. S'assurer de La compatibility interne 
consiste & verifier que le concepteur de 
1 1 i ns ta L La t ion autorise le remplacement d'un moyen 
predetermine dans l'une des voies, ayant un code 
d 1 i dent i f i ca t i on pr£det ermi n6, par un moyen nouveau 
ayant un nouveau code d f i dent i f i ca t i on mais executant 
Les mimes fonctions que le moyen p r £d£ t e rm i n& . 

Compatibi lite externe 



Cette compatibility externe doit etre 
vyrifiye dans des installations comportant plusieurs 
syst ernes i nterconnect§s par des entries et des 
sorties, pour echanger des donn^es. vyrifier La 
compatibility externe consiste a verifier que le 
remplacement, dans I'un des systfemes, d'un moyen 
prydyterminy ayant un code d 1 i dent i f i ca t i on 
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pr§d§t ermine, par un moyen nouveau ayant un nouveau 
code d r i denti fi cation, ne perturbe pas Les ^changes 
de donnfees entre Les divers systemes de 
I " i ns ta I la tion. 

5 

On constate bien, comme indique pLus haut, 
que Le contr6Le de configuration d'une instaLLation 
dans LaqueLLe un ou pLusieurs moyens fonctionneLs sont 
remplac6s est, pour un technicien de maintenance, un 

10 t ravai I difficiLe, Long, fastidieux et coOteux. De 
pLus, Le technicien peut commettre des erreurs de 
verification pouvant entralner des consequences graves, 
notamment quant iL s'agit d 1 i nstaL La tions de comtnande 
de voL eiectrique d'un avion. 

15 I'invention a pr6cisement pour but de 

rem^dier d ces i nc onv£n i en t s grace & un procede et 
un dispositif automatiques de contrdLe de configuration 
d'une instaLLation complexe. L f au t om a t i c i t 6 du procede 
et du dispositif faciLite notablement Le travaiL du 

20 technicien de maintenance, permet de raccourci r 
notablement Les deiais de contrdLe, et assure une trfes 
grande s£curite du contrdLe de configuration d ! une 
instaLLation. 

L'invention concerne tout d'abord un procede 

25 de contrdLe de configuration d'une instaLLation 
compLexe, cette instaLLation comportant des moyens 
combi n6s pr§sentant une configuration p r ed6 1 e rm i n6e 
et incLuant des calculateurs et des capteurs relies 
a des entrfees des calculateurs pour Leur fournir des 

30 donnees et des signaux a traiter, L 1 i ns t a L La t i on 
commandant des ensembles fonctionneLs relies £ des 
sorties des moyens combines pour recevoi r des signaux 
de commande, le procede consistant k : 

- affecter a chaque moyen de L 1 i ns ta L La t i on 

35 un code d 1 i dent i fi cat ion correspondent S La structure 
et aux specifications f onctionnel Les de ce moyen, 
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- verifier si le remp Lacement d'au moins 
un moyen existant de L 1 i ns t a L La t i on auqueL est attribuS 
un code d ' i dent i f i ca t i on pr&d&t e rm i n6, par un nouveau 
moyen auqueL est attribu6 un nouveau code 

5 d 1 i denti f i cat ion, provoque un changement de La 
configuration prfedfet ermin6e de L 1 i ns ta L La t i on 

susceptibLe de perturber Les signaux de commande fournis 
par L 1 i nstaL Lat ion, Ladite verification consistant 
S : 

10 * enregistrer dans une m£moire d'un 

calculateur, une base des codes 
d 1 identification des moyens de 

L ' i nstaL La tion, y compris Le code 
d 1 i dent i f i ca t ion du nouveau moyen, pour 

15 obtenir une base de La nouveLLe 

configuration de L 1 i ns t a L La t i on, 

* enregistrer dans La miraoire dudit 
caLcuLateur une base de r6f6rence des 
codes d 1 i dent i f i c a t i on des moyens de 

20 L 1 i ns taL La t ion, avant Ledit remp La cement, 

cette base correspondant S La 

configuration, dite ancienne, de 

L 1 i nstaL Lat ion, 

* comparer La base de reference des codes 
25 d 1 i dent i f i c a t i on de L'ancienne 

configuration avec La base des codes 
d 1 i denti f i ca t ion de La nouveLLe 

configuration, pour d6cLencher une aLarme 
Lorsque La comparaison indique une 
30 modification de configuration. 

SeLon une autre ca ract6ri s tique, Le proc£d6 
consiste aussi a verifier si : 

- Le nouveau moyen est interchangeable 
35 avec Le moyen existant, 
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- Le nouveau moyen est interchangeable 
et compatible avec les autres moyens de I 9 i ns t a I la t i on , 
la base de r£f£rence contenant un dictionnaire des 
moyens i nt erchangeab les et compatibles. 

5 

Selon une autre car act6r i s t ique du proc£d6, 
celui-ci consiste h enregistrer la nouvelle 
configuration de I 1 i ns t a I la t i o n dans uhe m£moi re 
d'archivage du calculateur Lorsque, aprfes ladite 
10 comparaison, le nouveau moyen est interchangeable et 
compatible avec un moyen existant qu'il remplace. 

Selon une autre caract^ristique, Le proc6d6 
consiste ensuite h verifier tous les cri tferes de cas 
15 de compatibility suivants : 

- compatibility f onct ionne L Le, 

- compatibility interne lorsqu'un nouveau 
moyen remplace un moyen existant dans un ensemble de 
moyens redondants du systeme, ce nouveau moyen devant 

20 §tre compatible avec les autres moyens redondants de 
I ' ensemble, 

- compatibility externe lorsque les entries 
et les sorties d'un systfeme de 1 1 i nstal la tion, qui 
pr6sente une nouvelle configuration, sont compatibles 

25 avec les entries et les sorties des autres systemes 
de 1 1 installation. 

{.'invention a aussi pour objet un dispositif 
de contrSle de configuration d'une installation 

30 complexe, pour La mise en oeuvre du proc£d6, caract£ris6 
en ce qu'il comporte un calculateur et sa m£moire, 
d6di§s au moins au contrSle de configuration, des moyens 
de chargement dans la m6moire de I ' o rd i na t eu r, de ladite 
base de r6f£rence des codes d ' i dent i f i cat i on, cette 

35 m6moire contenant en outre un programme de commande 
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d 1 enregi s t rement des codes d 1 i den t i f i ca t i on, cette 
m6moire contenant en outre un programme d 1 enr eg i st rement 
des codes d 1 i dent i fi cation des moyens de L 1 i ns ta I La t i on 
£ contrSLer, et un programme de comparaison de La base 
de r6f£rence des codes d 1 i dent i fi cat ion de L'ancienne 
configuration, et de La base des codes d 1 i dent i f i ca t i on 
de La nouvelle configuration, et des moyens d'affichage 
reli§s au caLculateur, pour fournir un message d'aLarme 
par suite d'une modification non autoris^e de 
configuration, pour indiquer Les causes de cette 
modification non autorisfee et pour indiquer Le code 
d 1 i dent i f i c a t ion du nouveau moyen introduit dans 
L 1 i nstaL La t ion et qui a provoqu§ cette aLarme, ces 
moyens d"affichage fournissant aussi un message reLatif 
& L 1 aut ori sation d 1 ut i L i sa t i o n de La nouvelle 
configuration Lorsque La comparaison n'a pas d^cLenchG 
d'aLarme, cette nouveLLe configuration 6tant alors 
enregistr^e dans Lesdits moyens de changement. 

Les ca ra c t feri s t i que s et avantages de 
L'invention ressortiront mieux de La description qui 
va suivre, donnfee en r£f6rence aux dessins annexes, 
dans LesqueLs : 

- La figure 1 reprfesente schfema t iquement 
et en exempLe une instaLLation compLexe, contr6L6e 
par un dispositif mettant en oeuvre Le proc6d6 de 
L 1 i nve nt i on, 

- La figure 2 est un organigramme qui d6crit 
Les etapes essentiel Les du proc6d6 de contrdLe de 
L 1 i nvention, 

- La figure 3 est un organigramme qui d§crit 
pLus pr6cis§ment Les etapes relatives aux verifications 
d 1 i nt er changeabi Li t§ et de compa t i bi Li t6, intervenant 
dans L 1 o r ga ni g ramme de La figure 2- 

La figure 1 reprfesente shemat i quement une 
instaLLation compLexe comportant par exempLe deux 
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systSmes 1, 2 comprenant des moyens combines permettant 
d'obtenir un rfesuLtat souhaite. SeuL Le systfeme 1 
a 6t6 represents en detail sur La figure, 

Ce systfeme comporte des moyens combines 
prfesentant une configuration pr§d§termin£e. Dans 
I'exemple reprfesentfe sur La figure, Le systfeme 1 
comprend des calcuLateurs 3, 4, 5, 6, 7, 8 et des 
capteurs relies k des entries des ca Iculateurs. SeuL 
I'un des capteurs 9 d'un ensemble de capteurs 10 a 
6te reprSsente sur La figure. 

Ces capteurs sont relies a des entries 
des calcuLateurs pour Leur fournir des donn6es et des 
signaux a traiter. Ces capteurs sont, par exemple pour 
un avion, des capteurs de vitesse, de debit de 
carburant, de tempfirature, . -etc. L 1 i ns ta L La t i on commande 
des ensembles fonctionnels 11 relies h des sorties 
de calcuLateurs qui leurs fournissent des signaux de 
commande. Un ensemble fonctionnel 12 a 6te represents 
en exemple sur la figure. Pour un avion a commandes 
eiectriques de vol, ces ensembles fonctionnels sont 
par exemple des as se rv i s sement s . 

Dans le systfeme represents en exemple sur 
la figure, chaque calculateur est bien entendu reliS 
& une mSmoire. Ces mSmoires sont representees en 13, 
14, 15, 16, 17, 18 et elles sont respec ti vement reliees 
aux calcuLateurs 3, 4, 5, 6, 7, 8. 

On a suppose que les calcuLateurs 6, 7, 
8 torment un ensemble 19 compose de plusieurs voies 
redondantes, comme cela est frequent dans un avion, 
pour des raisons de securite. En effet, toutes les 
voies traitent des donnSes ou des signaux identiques 
et fournissent des commandes identiques, de sorte que 
si I'une des voies est en panne, Les deux autres voies 
continuent a effectuer les memes traitements et a 
fournir Les memes commandes. 
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La configuration de cette installation 
est essent i e I lement repr6sent6e par les codes 
d ' i dent i f i ca t i on des moyens combines qui la constituent 
(qui sont ici les calculateurs et leurs mfemoires, les 
5 capteurs, les ensembles f onctionnels, les programmes 
enregistr6s dans les m6moi r es . . . e t c . ) , ainsi que par 
les Liaisons d ' ent r6e/sor t i e des calculateurs et des 
divers autres moyens. Le code d f i dent i fi cation de chaque 
calculateur peut §t re enregistr6 dans la mSraoi re du 

10 calculateur ou dans un registre de ce calculateur. 
Les codes d 1 i dent i fi cat ion des autres moyens de 
1 1 i ns tal lation, tels que les capteurs, peuvent §tre 
des codes £ barres inscrits sur des etiquettes, qui 
peuvent §tre Lus par des moyens appropri§s. 

15 Le dispositif de controLe de configuration, 

conforme a IHnvention, comprend e ssent i e I lement , L ! un 
des calculateurs 3 par exemple et sa m£moire 13, d§di£s 
au contrSLe de configuration de 1 1 instal Lation, des 
moyens 20 de chargement dans La m^moire 13 du 

20 calculateur d6die 3, d'une base de r6f6rence des codes 
d % i dent i fi cat ion des diff£rents moyens de 1 1 i ns tal la tion 
avant que celle-ci soit modifi6e. Ces moyens 
d'enregistrement de La base de reference peuvent etre 
constitu^s par une disquette dont le lecteur 20 est 

25 reli6 au calculateur dedi6 3. 

Le dispositif comporte aussi un ordinateur 
21 avec des moyens d'affichage 25. Un clavier 26 est 
mis J la disposition du technicien de maintenance pour 
commander Le Lecteur de disquettes 20. Cet ordinateur 

30 est aussi relife k une m6moire 22, a une imprimante 
23 et a un systeme 24 de lecture de codes a barres. 

La m£moire 22 de I'ordinateur 21 contient 
notamment un programme d'enregistrement des codes 
d 1 i dent i fi cat ion des divers moyens de L 1 i ns t a L La t i on . 

35 Ce programme est t§L6charg6 dans La m£moire 13 du 
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calculateur 3. Les codes d 1 i den t i f i c a t i on des 
calculateurs de l' installation sont transmis directement 
au calculateur 3, par les autres calculateurs, pour 
etre enregi strfes dans la m£moire 13, Pour les autres 
moyens, tels que les capteurs 9 par exemple, les codes 
d 1 i dent i f i ca t i on sont transmis par le lecteur 24 de 
codes & ba r res - 

Un programme permettant de comparer les 
codes d ' i dent i fi cat ion des diff£rents moyens de 
1 1 i ns tal lat ion transmis par les autres calculateurs 
et par le Lecteur 24, et des codes d 1 i dent i f i ca t i on 
de reference, est £galement fourni au calculateur 3 
par I'ordinateur 21- 

la figure 2 est un organigramme qui decrit 
les etapes essentielles du proc£d§ de contrdle de 
configuration, conforme a IMnvention. 

On suppose que de maniere connue, chaque 
moyen de I f i ns ta I la t ion est affects d'un code 
d ' i dent i f i c a t i on correspondant d la structure et aux 
specifications f one t ionnel Les de ce moyen- C'est ainsi 
par exemple que, pour un calculateur, Le code 
d 1 i dent i f i c a t i on pourra correspondre au type et S la 
marque du calculateur et au programme qu ' i I utilise. 

Ces codes £tant affect£s, il est alors 
n§cessaire de verifier si Le rempLacement d'un moyen 
existant, tel qu'un calculateur et/ou son programme 
assocife, auquel est attribu£ un code d * i dent i f i ca t i on 
predetermine, par un nouveau moyen auquel est attribu6 
un nouveau code d 1 i denti f i ca t i on, ne perturbe pas la 
coherence du f onct i onnement de ^installation et, 
notamment, ne perturbe pas les signaux de commande 
fournis par I ' i ns ta I la tion. 

Cette verification, qui consiste en fait 
a controler la coherence de la nouvelle configuration 
de L 1 i nstal Lat ion, est prfecisement obtenue de manifere 
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automat i que, h I'aide du proc6d£ de L'invention, dont 
les Stapes essentieLLes sont representees sur La figure 
2. 

La premifere etape 101 consiste d acqu6ri r 
5 Les codes d 1 i dent i f i ca t i on des differents moyens de 
L 1 i ns t a L La t i on . Ces codes sont acquis par Le calculateur 
d6di6 3, so it direct em ent, soit par L'interm£diaire 
du Lecteur 24 de codes k barres. 

ILs sont enregistrSs dans La m6moire 13 

10 de ce calculateur, k I'etape suivante 102- On suppose 
bien entendu que La configuration initiale et 
pr 6d6t erm i n6e de I ' i ns t a I la t i on a 6t6 modifiee* en 
remplapant un moyen existant portant un code 
d 1 i dent i fi cation predetermine,, par un nouveau moyen 

15 portant un nouveau code d 1 i dent i fi cat ion. 

I'etape suivante 103 consiste k enregistrer 
dans La mSmoi re 13 du calculateur dedie 3, une base 
de reference des codes d 1 i dent i f i ca t i on des moyens 
de L 1 i ns ta I la tion, avant Le remp lacement de I'un au 

20 moins des moyens de cette installation- Cette base 
est en fait un repertoire des moyens existants de 
I 1 i ns ta I La t ion, avant que sa configuration soit 
modifiee. La base de reference est fournie par La 
disquette 20, sur un ordre fourni par Le technicien 

25 de maintenance agissant sur Le clavier- de l f ordinateur 
21- La base de reference est t£L6charg6e dans La m6moire 
13 du calculateur 3. 

L'etape 104 consiste a comparer les codes 
acquis relatifs k La nouvelle configuration de 

30 L 1 i ns tal La tion, apres remplacement d'un ou plusieurs 
moyens existants, par un ou plusieurs moyens nouveaux. 
Cette compar aison, ainsi que Les operations de 
verification qui vont suivre, sont commandoes par un 
programme enregistrfe dans la m£moire 22 de 1 1 ordinateur 

35 21 et qui est teiecharge dans La m£moire 13 du 
ca Lculateu r 3. 
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L'6tape 105 rfesuLte de L'6tape pr6c§dente« 
ELLe consiste S verifier s'U y a eu ou non changement 
de configuration de 1 1 i ns ta I La t i on . 

S r i L n'y a pas eu changement de 
5 configuration, c'est que La configuration existante 
est valid6e. L'Scran 25 de L'ordinateur 21 peut alors 
afficher un message teL que "ancienne configuration 
en service", comme indiqu6 en 106. 

S'il y a eu changement de configuration, 

10 une alarme apparalt 5 L'fetape 107- Cette alarrae peut 
se traduire par un message teL que "modification de 
configuration", apparaissant sur L'£cran de 

vi suaLi sation 25 de l f ordinateur 21. 

L'apparition d f une alarme £ L'6tape 107 

15 ne signifie pas ob Li ga toi r ement que La nouveLLe 
configuration n'est pas acceptable. 

Le seuL cas oCi La nouveLLe configuration 
est inacceptable est ceLui pour LequeL un moyen existant 
pr&determin6 a 6t6 remplac6 par un moyen nouveau qui 

20 n'est pas i nter changeab Le ou est incompatible avec 
ce moyen existant. 

L'£tape 108 est prfecisfement La verification 
de I ' i nter changeabi li 1 6 et de La compatibility d f un 
ou pLusieurs moyens de L 1 i ns t a L La t i on , avec Les moyens 

25 existants dans La configuration initiale. A cet effet. 
La base de r&f§rence de codes d 1 i dent i fi cat ion des 
moyens de L 1 i ns t a L La t i on, avant La modification de 
La configuration, contient un dictionnaire des moyens 
i nterchangeab Les et compatibles. 

30 si dans L 1 i nst a I La t i on, un moyen nouveau, 

portant un nouveau code d 1 i denti fi cation, a remplac§ 
un moyen existant, et que ce moyen nouveau n'est pas 
interchangeable avec Le moyen existant, seuLe la 
reinstallation & l'£tape 109 de L'ancien moyen ayant 

35 L'ancien code d 1 i denti fi cation pr§d§termin6 pourra 
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arr£ter I'alarme. Le procede se dferouLe alors £ nouveau 
de manifere identique S partir de L f etape 101 et L'ecran 
de visualisation 25 doit norma Lement afficher Le message 
"ancienne configuration en service", 
5 Si Le moyen nouveau qui a remplace un moyen 

existant est interchangeable, iL est nfecessaire de 
verifier en plus, comme on le verra pLus Loin en d£tai I 
k L'aide de La figure 3, la compatibility de ce nouveau 
moyen avec les autres moyens de L ' i nstal lation. 
10 Si le moyen nouveau n'est pas compatible, 

seule La reinstallation du moyen existant (<§tape 108) 
portant Le code d ' i denti fi cat ion predetermine peut 
permettre de valider a nouveau L'ancienne configuration, 
en red6marrant Le procede h L'etape 101. 
1 ^ si le moyen nouveau portant un nouveau 

code d 1 i denti fi cat ion, qui a remplace un moyen existant 
portant un code d 1 i dent i fi ca i ton predetermine, est 
interchangeable avec ce moyen existant, et compatible 
avec les autres moyens de L ' i nsta L Lation, & La suite 
20 de La verification effectu£e a L'etape 108, la nouvelle 
configuration est valid£e k l'etape 110 ; La nouveLLe 
base des codes d 1 i dent i fi cation des moyens de La 
nouveLLe configuration peut alors §tre charg£e & l'etape 
111, dans la disquette 20. 
25 Un rapport peut etre edite (etape 112) 

par L'imprimante 23, pour §tre archive. Ce rapport 
indique Les alarmes de modification de configuration, 
Les resultats des verifications d 1 i nterchangeabi Li t6 
et de compa tibi Li t6. La validation d'une nouveLLe 
configuration et L 1 autori sat ion de son chargement dans 
La memoire d'archivage, la disquette 20 par exemple. 
L'alarme est arret6e et Le message "nouveLLe 
configuration vaLidee" peut etre affiche sur I'ecran 
25. 

Le precede peut alors en permanence 
redemarrer a l'etape 101. 
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La figure 3 est un organigramme permettant 
d f expLiquer de manifere plus detailiee l f 6tape 108 de 
verification d 1 i nt e r c h angeabi L i t 6 et de compatibi li te. 

Cette verification est effectuee & partir 
de La base des codes d* identification de mo yens de 
La nouvelle configuration, acquis £ l f 6tape 102, et 
de La base de reference des codes d 1 i dent i fi cat ion, 
t§l£charg6e e L'Stape 103, par La disquette 20. Cette 
verification rfesuLte de I'alarme apparue & l f etape 
107- 

La premiere verification (etape 201) 
consiste & verifer s r U y a i nter changeabi li te double". 
S'il n'y a pas i nt e rch ange ab i L i t e double, il est 
necessaire, comme indique en 202, de verifier s'il 
y a i nter changeabi Li 1 6 simple. S'il n'y a pas 
i nterchangeabi Li t6 simple, c'est que 

L'interchangeabi Lite est exclusive, comme indique en 
203 et que le nouveau moyen portant un nouveau code 
d 1 i dent i f i ca t i on ne peut §tre utilise. La seule 
possibilite est la reinstallation (etape 109) du moyen 
existant portant le code d 1 i dent i fi cat ion predetermine. 
Cette i mpo ssi bi Li te d 1 i nterchangeabi Li te est signaiee 
sur le rapport 112. 

Les cas d 1 i nter changeabi Li te simple, double 
ou exclusive ont 6te definis plus haut. 

En cas d F i nterchangeabi li te double ou 
simple, a la suite des etapes 201 ou 202, il est 
necessaire de verifier La compatibi li te f one t i onne L Le 
Cetape 204), La compatibi Li te interne (etape 205) et 
La compatibi Li te externe (6tape 206) du nouveau moyen 
portant un nouveau code d 1 i denti f i ca t ion, avec Les 
autres moyens de L 1 i ns t a L La t i on . Les definitions de 
ces divers types de com pa t i b i I i t e ont ete donnfees plus 
haut. 
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Si une i n compa t ibi L i t 6 quelconque apparait, 
alors un rapport est 6dite (etape 112) et seuLe La 
r6i ns t a L La t i on, S La pLace du moyen nouveau, du moyen 
existant avant La modification de configuration peut 
5 £tre envisage (etape 109). 

Si au contraire, Les compat i bi Li tes 
f onct ionne L Les interne et externe sont vaLid6es, c'est 
que La nouveLLe configuration peut eLLe-m§me §tre 
vaLid6e (etape 1 10) - 

10 La verification de compa ti bi Li t6 interne 

peut §tre rendue necessaire, dans L * i nstaL Lat ion 
representee sur La figure 1, par exempLe en cas de 
rempLacement de L'un des caLcuLateurs de L'ensembLe 
des voies redondantes 19. 

15 La verification de La c ompa t i b i L i t e externe 

peut §tre rendue nfecessaire par exempLe Lorsqu'un 
caLcuLateur du systfeme 1 de L 1 i ns t a L La t ion est rempLace. 
Ce rempLacement doit §tre compatibLe notamment avec 
Les echanges de donnees en entrees et en sorties, entre 

20 Le systeme 1 et Le systeme 2. 

L'invention permet bien d'atteindre Les 
buts mentionnes pLus haut, et notamment d 1 automat i ser 
et d'am6Liorer La securite du contrdLe de configuration 
d'une instaLLation qui subit des modifications. 

25 
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RE VEND ICATIONS 
1. Proc£d6 de contrSLe de configuration 
d'une installation compLexe, cette installation 
comportant au moins un systeme C1 ou 2) comprenant 
5 des moyens combines , prfesentant une configuration 
pr6d6termi n6e et commandant des ensembles fonctionnels 
(11) relifes 3 des sorties des moyens combines pour 
recevoir des signaux de commande, Le proc£d6 consistant 
k : 

10 - affecter h chaque moyen de 1 1 i nstal Lation 

un code d 1 i dent i f i ca t i on cor respondant h la structure 
et aux specifications f one t i bnne lies de e'e "m'oyeri, ' 

- verifier si le remplacement d'au moins 
un moyen existant de L f i nstal lation auquel est attribuS 

15 un code d 1 identifi cation pr£d§t ermi n6, par un nouveau 
moyen auquel est attribu6 un nouveau code 
d ' i den t i f i ca t i on, provoque un changement de la 
configuration p r 6d£t e rm i n6e de ^installation 

susceptible de perturber les signaux de commande fournis 

20 par 1 1 i nstal lation, 

caractferis6 en ce que ladite verification consiste 
h : 

- enregistrer (102) dans une m6moire (13) 
25 d'un calculateur (3), une base des codes 

d 1 i dent i fi cation des moyens de L ' i ns t a I la t i on, y compris 
le code d 1 i dent i f i ca t i on du nouveau moyen, pour obtenir 
une base de la nouvelle configuration de L 1 ins tal Lation, 

- enregistrer (103) dans la m£moire (13) 
30 dudit calculateur une base de reference des codes 

d 1 i dent i fi cat ion des moyens de L 1 i nstal lation, avant 
ledit remplacement, cette base c or respondant & la 
configuration, dite ancienne, de L 1 i ns t a I La t i on, 

- comparer (104) la base de r£f£rence des 
35 codes d ' i ndent i f i ca t i on de L f ancienne configuration 

avec la base des codes d 1 i dent i f i ca t i on de la nouvelle 
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configuration, pour dfeclencher (107) une alarme lorsque 
La comparaison indique une modification de 
configuration. 

2. ProcSdfe seLon La r evendi ca t ion 1, 
5 caract6ris£ en ce qu'il consiste aussi & verifier (108) 

si : 

- Le nouveau moyen est i nt erchangeab Le 
avec Le moyen existant, 

- Le nouveau moyen est interchangeable 
10 et compatibLe avec Les autres moyens de L 1 i nst a L lat i on. 

La base de rfef&rence contenant un dictionnaire des 
moyens i nterchangeab Les et compatibles. 

3. Proc£d§ de contrSle selon La 
revendi ca t ion 2, caract6ri s6 en ce qu f il consiste £ 

15 enregistrer (111) La nouvelle configuration de 
L 1 i ns taL La t ion dans une m£moire d'archivage dudit 
caLcuLateur, Lorsque aprfes Ladite comparaison, Le 
nouveau moyen est i nterchangeab Le et compatibLe avec 
un moyen existant qu'il remplace. 

20 4. Proc£d6 de contr6Le selon La 

revendication 2, caractferis§ en ce qu'il consiste 
ensuite a verifier L'existence de cas de compatibi Li t£s 
sui va nt s : 

- compatibility f o nc t i o nn e L Le (204), 

25 - compatibility interne C205) lorsqu'un 

nouveau moyen remplace un moyen existant dans un 
ensemble de moyens redondants du systfeme, ce nouveau 
moyen devant etre compatible avec les autres moyens 
redondants. de I'ensemble, 

30 - compatibility externe (206) lorsque les 

entrees et les sorties d'un systfeme de L 1 i ns t a I La t i on, 
qui pr§sente une nouvelle configuration, doivent etre 
compatibles avec les entries et les sorties d'au moins 
un autre systfeme de L ' i nsta I La t ion. 

35 
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5. Dispositif cle contrdle de configuration 
d'une instaLLation compLexe, pour La mise en oeuvre 
du proc6d6 conforme S L'une quelconque des 
revendi cat ions 1^4, caract§ris§ en ce qu'il comporte 
5 un caLculateur (3) et sa m6moire (13), d6di§s au moins 
au contrbLe de configuration de l' instaLLation, des 
moyens de chargement (20) dans La m6moire (13) de 
1 1 o rd i nat eu r (3) de Ladite base de r§f6rence des codes 
d 1 i dent i f i ca t i on, cette m6moire contenant en outre 

10 un programme d r enregi strement des codes d 1 i dent i f i cati on 
des moyens de L 1 i ns t a L La t i on a contrSLer, et un 
programme de comparaison de La base de r§f6rence des 
codes d 1 i dentifi cation de L'ancienne configuration, 
et de La base des codes d 1 i dent i f i ca t i on de La nouveLLe 

15 configuration, et des moyens d'affichage (25) reliSs 
au caLculateur (3), pour fournir un message d f alarme 
par suite d'une modification non autoris6e de 
configuration, pour indiquer Les causes de cette 
modification non autoris6e, et pour indiquer Le code 

20 d 1 i den t i f i ca t i on du nouveau moyen introduit dans 
I 1 instaL lation et qui a provoqu6 cette aLarme, ces 
moyens d'affichage fournissant aussi un message relatif 
k L 1 autori sat ion d 1 ut i Li s at i on de La nouveLLe 
configuration Lorsque La comparaison n'a pas d^cLenchfe 

25 d'alarme, cette nouveLLe configuraion 6tant aLors 
enregistree dans Lesdits moyens de chargement (20). 
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